安全周事记(20181005)

• 9.21 菜鸟驿站 1000 万快递数据泄露，涉及各大高校的大学生
  犯罪团伙对安装在物流网点手持终端（俗称巴枪）中的“菜鸟驿站”APP进行破解后，植入控件程序。通过相关省份“菜鸟驿站”服务商进行推广安装后，直接通过数据回传获得数据。截至破案，遭非法窃取的“菜鸟驿站”快递数据超过1000万条；数据涉及到各大高校的大学生。

  吐槽：堡垒,往往从内部攻破。

• 9.24 还记得BlueBorne吗？一年过去了，仍有20亿蓝牙设备的漏洞没有修复
  根据Armis的估算，仍有超过20亿的设备仍然暴露在风险之中，它们没有进行更新，或者压根就接收不到更新补丁。
  
• 9.25 为了保护公司的App安全，我用遍了市面上的加固产品
  原文被删，搜狐转载。
  从行文来看，偏向认为是软文。先给出文章结论：
  

  吐槽：偏向认为是软文且有一定diss他家的倾向，估计这也是freebuf删文的原因。

• 9.25 新型僵尸勒索软件 Virobot 肆虐微软 Outlook
  趋势原文
  Virobot同时兼具僵尸网络和勒索软件的特征，在微软Outlook上以垃圾邮件的方式进行传播。

  吐槽：所以安全意识真的很重要

• 9.25 可怕！青果摄像机被曝直播用户私人生活：你在家中一举一动都被人观看！
  如题。

  吐槽：前有水滴后有青果。互联网浪潮扑向传统行业时，带来的流氓是非常’有文化’的。

• 9.25 Polymorph：支持几乎所有现有协议的实时网络数据包操作框架
  Polymorph是一个用Python3编写的框架，其允许实时修改网络数据包，为用户提供对数据包内容的最大化控制。该框架旨在实现任何现有协议（包括没有公共规范的私有协议）的网络数据包的实时修改。除此之外，其主要目的之一是为用户提供对数据包内容的最大化控制，并能够对信息执行复杂处理。
  开源地址 白皮书

  吐槽：有点过于硬核，不过可自行对通信包编程处理这点，对于很多猿很有帮助。

• 9.25 基于设备指纹的风控建模以及机器学习的尝试
  简单的学习和实践笔记。

  可以关注的是:机器学习中不丢弃数据，而是通过升维细化数据，再对数据进行学习处理以及降维，保障有效数据的丢失率趋零。

• 9.25 macOS文件扩展名隐藏方式
  友情帮顶。
  安全客翻译党：macOS小技巧：文件扩展名
  macOS Research Outtakes - File Extensions

  吐槽：对机翻党真的是很鄙视。不过有想过自动化机翻然后投稿 →_→

• 9.26 一个人的安全部之大话企业数据安全保护
  延续上一次的整体设计之后，针对数据安全做了详细介绍，较多干货。
  

  吐槽：个人觉得干货比上一文多，当然也可能是我自己水平太低的问题。

• 9.26 火眼：《2018上半年电子邮件威胁报告》
  火眼的分析基于其2018年1月到6月检测的5亿多封电子邮件样本, 其中仅32%的电子邮件流量可被视为“干净”，也就是说没有或仅有极少风险的“干净”邮件，被证实发送到了用户收件箱。不过，邮件“不干净”倒也未必意味着就存在恶意企图。火眼指出，电子邮件中包藏祸心的仅占1/101。
  原报告申请链接

  吐槽：最烦这种要邮箱才给报告的了——“不干净”邮件就有你们的一份。

• 9.27 金融行业微蜜罐系统应用思考
  高交互蜜罐通常模拟一个真实的或者仿真度高的系统环境，其优势是提供了真实的环境，迷惑性高，因而能够将攻击者的更多的活动和行为记录下来。缺陷也是显而易见的，这类系统容易成为攻击者的跳板，通常部署的点也不会太多，因此能够发挥的价值也就相对有限。
  低交互蜜罐——即微蜜罐，则是模拟服务、陷阱文件等方式，获取攻击者有限的攻击行为（通常是针对模拟的服务）。

  吐槽：所以欢迎使用绿盟微蜜罐

• 9.27 用户名“admin”、密码“123456”，乌克兰军方系统安全问题被曝光
  如题。历时四个月，多次提醒，乌克兰军方系统多服务器使用弱密码——用户名“admin”、密码“123456”。

  吐槽：果然安全最大的敌人是zz用户。

• 9.27 毒云藤（APT-C-01）军政情报刺探者揭露
  360追日团队发现毒云藤组织对中国国防、政府、科技、教育以及海事机构等重点单位和部门进行了长达11年的网络间谍活动。该组织主要关注军工、中美关系、两岸关系和海洋相关领域。

  恩，数字强大。

• 9.27 BLE安全入门及实战（2）
  配合BLE安全入门及实战（1）食用。
  可对蓝牙嗅探、攻击有基础的了解和入门。

  吐槽：IOT安全方向真的很酷啊。

• 9.28 新Njrat木马（Bladabindi）的新功能源码分析
  Njrat，又称Bladabindi，该木马家族使用.NET框架编写，是一个典型的RAT类程序，通过控制端可以操作受控端的文件、进程、服务、注册表内容，也可以盗取受控端的浏览器的保存的密码信息等内容。
  新版的Njrat新增了更加流行的一些功能点，如勒索、压力测试(DDOS)，BTC钱包采集、对抗安全工具等使用新功能。

  吐槽：一种都是程序员，都要加班添加新feature的感觉。

• 9.28 “绿斑”行动——持续多年的攻击
  “绿斑”组织的攻击以互联网暴露目标和资产为攻击入口，采用社工邮件结合漏洞进行攻击，其活跃周期可能长达十年以上。
  “绿斑”攻击组织主要针对中国政府部门和航空、军事、科研等相关的机构和人员进行网络攻击，试图窃取机密文件或数据。这是一组时间跨度非常漫长的攻击行动，目前可以确定该攻击组织的活跃时间超过7年，甚至可能达到11年以上。该攻击组织主要采用的手法是鱼叉式网络钓鱼攻击，即以邮件作为攻击前导，邮件附件使用有社工技巧的格式溢出文档或伪装过EXE可执行文件，进行定向投放，该组织对开源后门程序进行了大量改造，使其符合作业需要，并绕过主机防护软件。在该组织的攻击中，罕有使用0day攻击的情况，而反复使用陈旧漏洞，但其对漏洞免杀技巧的应用是熟练的，甚至是抢先的。在侵入主机后，通过加密和动态加载等技术手段，试图达成进入目标并在目标机器内长期潜伏而不被发现的效果。

  吐槽：安天的报告主观性比较强，但安全思考高度足够，结论看起来很爽。

• 9.28 移动互联网十年
  八卦文。值得一看。
• 9.28 挖洞经验 | 看我如何发现雅虎邮箱APP的存储型XSS漏洞
  Yahoo! Mail iOS APP应用，也就是雅虎邮箱的iOS版本，在该APP应用程序的xml文件中存在一个存储型XSS漏洞。攻击者可以利用XML特性构造任意HTML/Javascript代码嵌入邮件，在该APP用户打开邮件时，都可以实现这种任意代码渲染呈现，极端点来说，利用XML的实体扩展攻击，可以形成DoS攻击，造成APP服务崩溃。
  
  证实存在xss漏洞后，可用”GET”方法对本地APP客户端资源进行获取，获取到雅虎邮箱iOS应用的整个缓存数据，其中包括用户cookie、通讯录列表、邮件内容等等。

  吐槽：所以一定要打脸打的生疼才能评高星。

• 9.29 HTTP协议调试工具汇总，你心目中应该是什么样的？
  汇总贴，可看正文，目前使用较为普遍的是 Burp Suite 、 Charles 和 fiddler。
• 9.29 揭秘网络犯罪分子如何利用区块链隐藏自己
  基于360此前的Fbot报告，本文提出黑产利用区块链技术构建地下论坛、在线市场等案例，指出黑产利用区块链隐藏自身将会越来越普遍。

  吐槽：永远是道高一尺魔高一丈(魔总走在前面啊)

• 9.29 GhostDNS正在针对巴西地区70种、100,000+家用路由器做恶意DNS劫持
  360Netlab发现一伙攻击者利用GhostDNS系统攻击了巴西地区超过 70 种、100,000 个家用路由器，通过篡改这些路由器上的配置，攻击者劫持了这些路由器的DNS解析，并进一步窃取了路由器用户在 50+ 网站上的登录凭证、银行帐号等信息。被劫持通信的网站主要涉及银行，云主机服务商等网站，其中也包括avira安全公司。
• 9.30 代码自动化扫描系统的建设（下）
  本质上还是一个系统设计文档，重点在于自动化系统的搭建。(可套用在诸多非安全系统上)

  吐槽：当然对于初创公司或初创安全团队很有借鉴指导意义

​